其他分享
首页 > 其他分享> > Vulfocus靶场 | Druid 任意文件读取(CVE-2021-36749)

Vulfocus靶场 | Druid 任意文件读取(CVE-2021-36749)

作者:互联网

漏洞原理

由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apache Druid 默认情况下是缺乏授权认证,攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。

漏洞复现

 

 

 

 

 

 

标签:文件,HTTP,读取,Vulfocus,Druid,InputSource,漏洞,36749
来源: https://www.cnblogs.com/mlxwl/p/16608964.html